病毒大百科

这是麦英病毒的一个变种，会感染系统中的EXE文件，但不会感染网页文件，
建议用户打开病毒防火墙防止病毒的感染。

1：拷贝本体
病毒运行后会把自己拷贝到系统目录下
%SYSTEM%\sysbmw.exe

2：更改注册表
病毒会在注册表中添加自启动项
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
System Boot Check = "C:\\Windows\\System32\\SYSBMW.exe"

并删除该键值
HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\Run
internat.exe

3：下载其它病毒
病毒会启动一个IE的进程，并把自己的代码注入到IE进程里
在IE中下载列表文件上面的病毒:
列表文件如下:
[config]
Version=1.0.6
NUM=7
1=http://a.******.com/cald/01.gif
2=http://a.******.com/cald/02.gif
3=http://a.******.com/cald/03.gif
4=http://a.******.com/cald/04.gif
5=http://a.******.com/cald/05.gif
6=http://a.******.com/cald/06.gif
7=http://a.******.com/cald/07.gif
hos=http://if.*******.com/test/hos.rar
UpdateMe=http://a.******.com/css.exe
tongji=http://if.*******.com/test/tongji.htm

1-7是病毒下载的木马
hos是host文件,病毒会使用该host文件代替Windows的host文件
使部分网站无法访问
update是新病毒版本的升级地址,病毒作者会更新病毒的版本
tongji是病毒作者统计病毒的感染量的

4：感染文件
病毒会运行一个记事本进程，并把自己注入到该进程中运行，
并对系统中10K-10MB的可执行文件进行感染，但此版本的病毒
不会感染网页文件，也不会通过ANI漏洞传播。

5：通过移动硬盘传播
病毒会从Z盘开始寻找，一但发现是移动磁盘的分区，就会把自己
拷贝到该分区的根目录下，并生成一个autorun.inf，使病毒自动运行。